2022年RAS服务器的管理 .pdf

实训RAS服务器的管理实训目的 : RADIUS 服务器配置、 VPN 服务器配置、 IAS 服务器的授权、 VPN 客户端的建立。实训内容： RADIUS 服务器的安装、在Active Directory中授权 RADIUS 服务器、配置 RADIUS 服务器的客户端、配置VPN服务器采用 RADIUS 服务器验证、验证VPN客户端。实训条件： Virtual PC 2007 虚拟机， Windows 2003 Server VHD 文件（ London 和Denver） 。实训学时： 4 学时实训步骤：知识背景Windows Server 2003 中的 Internet 验证服务(IAS) 是 Microsoft 实施的远程身份验证拨入用户服务(RADIUS) 服务器和代理。作为RADIUS 服务器，IAS 可集中执行多种类型的网络访问（包括无线、身份验证交换机、远程访问拨号和虚拟专用网 (VPN) 连接）的连接身份验证、 授权和记帐。 作为 RADIUS 代理，IAS 向其他 RADIUS 服务器转发身份验证和记帐消息。RADIUS 是 Internet 工程任务组(IETF) 标准。RADIUS 服务器具备对用户帐户消息的访问权限，并且能够检查网络访问身份验证凭据。如果用户的凭据是可验证的并且连接尝试经过授权，RADIUS 服务器则会对基于指定条件的用户访问进行授权并记录记帐日志中的网络访问连接。使用RADIUS 可以在中心位置（而不是在每台访问服务器上）收集和维护网络访问用户身份验证、授权和记帐数据。可以为以下解决方案创建不同的IAS 配置：无线访问组织拨号或虚拟专用网(VPN) 远程访问外包的拨号或无线访问Internet 访问商业伙伴对Extranet 资源已经过身份验证的访问版本差异：可以在 Windows Server 2003 Standard Edition 中配置“Internet 验证服务” ，最多配置50 个 RADIUS 客户端和2 个远程 RADIUS 服务器组。可以采用完全合格的域名或IP 地址定义 RADIUS 客户端，但不能通过指定IP 地址范围定义 RADIUS 客户端组。使用 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中带的“ Internet 验证服务”，可以配置无限多个RADIUS 客户端和远程RADIUS 服务器组。另外，可以通过指定IP 地址范围来配置 RADIUS 客户端。具体步骤实验拓扑见图 5.1：RADIUS 和 VPN 服务器配置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 17 页 - - - - - - - - - 内网图Lab14 ：RADIUS 和VPN 服务器配置192.168.1.200/24RADIUS 服务器（Denver ）内网： 192.168.10/24InternetVPN 客户端（宿主机）VPN 服务器London外网： 202.102.2.0/24实验目标：将 Denver 配置为一台 RADIUS 服务器，将 London配置为一台 VPN服务器和 RADIUS 客户端，宿主机配置为一台VPN客户端， VPN 连接到 VPN服务器并采用RADIUS 服务器验证。一、将 Denver 配置为一台 RADIUS 服务器。打开“ Windows组件”，找到“网络服务”项，打开“网络服务”，找到“Internet 验证服务”项。确定后，开始安装 RAIDUS 服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 17 页 - - - - - - - - - 安装完成，打开：“开始”“程序”“管理工具” ，确认是否有 RAIDUS 的管理工具（ Internet 验证服务），如下图所示：二、在 Active Directory中授权 RADIUS 服务器：打开 Internet 验证服务控制台，右击“Internet 验证服务（本地）” ，选择“在 Active Directory 中注册服务器”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 17 页 - - - - - - - - - 在“Active Directory 中注册 Internet 验证服务器”提示框中，点击“确定” 。确定已在 Active Directory 中授权 Internet 验证服务器三、配置 RADIUS 服务器的客户端在 Denver 计算机上为 VPN服务器新建一个 RADIUS 客户端打开 Internet 验证服务控制台， 右击“RADIUS 客户端” ，选择“新建 RADIUS 客户端” 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 17 页 - - - - - - - - - 在“名称和地址”页中，依次输入合适的信息，注意客户端的IP 地址项。点击下一步，在“其他信息”页，输入自定义的共享机密，并选中“请求必须包括消息验证程序属性”选项。单击完成。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 17 页 - - - - - - - - - 四、配置并启用路由和远程访问服务，添加VPN 服务器角色在 London 计算机启用 路由和 远程访问服务，注意选择“VPN”角色。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 17 页 - - - - - - - - - 在 London 计算机启用 路由和 远程访问服务， 注意选择“VPN 连接到 Internet 的网络接口” 。 可取消“通过设置数据包筛选器来对选择的接口进行保护此服务器”选项 （仅用于 Ping 测试方便，实际应用不可取） 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 17 页 - - - - - - - - - 在 London计算机启用路由和远程访问服务，手工指定一段IP 地址。采用 RADIUS 服务器和远程访问服务一起工作。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 17 页 - - - - - - - - - 在 RADIUS 服务器选择页，按提示输入正确的主RADIUS 服务器的地址和共享的机密。这在 5.3 步中所定义。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 17 页 - - - - - - - - - 在路由和远程访问的有关DHCP 消息的中继提示中，单击“确定” 。开始进行路由和远程访问的初始化。五、配置 VPN 登录帐户属性：根据需要， 配置 VPN 登录用户的“拔入” 属性为“通过远程访问策略进行远程控制” 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 17 页 - - - - - - - - - 由于此设置需要将域的功能级别为Windows Server 2003模式， 故需先将域升级为 Windows Server 2003本机模式。如图所示： （域功能级别的提升需要花费一些时间！ ）然后配置用于 VPN 登录用户的 “拔入”属性为“通过远程访问策略进行远程控制” 。如图所示，将管理员“ administrator”设置为“通过远程访问策略进行远程控制”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 17 页 - - - - - - - - - 配置 RAIDUS 服务器，新建一个允许访问的策略名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 17 页 - - - - - - - - - 六、验证 VPN 客户端在宿主机新建一个VPN 客户端名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 17 页 - - - - - - - - - 输入正确的 VPN 服务器 IP 地址或 DNS 名。在连接界面，输入合适的用户名和密码。点击连接名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 17 页 - - - - - - - - - VPN 客户端连接到VPN 服务器，如果以上配置没有错误的话，会出现拔号成功。并在 VPN 虚拟网络上注册您的计算机。七、继续验证远程访问策略：配置 RAIDUS 服务器，新建一个拒绝远程访问的策略，如图所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 17 页 - - - - - - - - - 八、VPN 客户端验证在 VPN 客户端点击 VPN 拔号连接，会出现拔号错误，提示你的用户帐号没有拔入的权限。如图所示：实训要求：配置为一台 RADIUS 服务器，一台 VPN 服务器和 RADIUS 客户端和一台 VPN客户端，设置 RADIUS 服务器的远程访问策略。只允许用户在星期一到星期五的8：00-17：00 远程访问。用 VPN客户端连接到 VPN服务器尝试采用 RADIUS 服务器的验证。实训方法： 每 4 个同学为一小组，组长来组织组员完成实训项目，最后形成文档资料。指导老师先讲解基本步骤，学生充分发挥小组团队的协作，独立思考完成。考核办法： 以操作的熟练程度和正确性为评分标准，满分5 分，以 5 分（优秀）、4分（良好）、3分（中） 、2 分（及格）、1 分（不及格）、0 分（完全没做）为成绩标准。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 17 页 - - - - - - - - - 思考题： RADIUS 服务器和客户端配置的难点。远程访问策略配置的重要性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 17 页 - - - - - - - - -